PCI DSS（Payment Card Industry Data Security Standard、ペイメントカード業界データセキュリティ基準）とは、国際ペイメントブランド5社（American Express、 Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc.）によって2004年12月に策定されたカード情報セキュリティの国際統一基準です。加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的としています。

同時に設立された団体であるPCI SSC（Payment Card Industry Security Council、ペイメントカード業界セキュリティ基準協議会）によってPCI DSSの維持、管理、普及活動等が行われており、クレジットカード会員データ保護のためのセキュリティ対策が推進されています。

クレジットカード各社は、PCI DSSの策定以前より、個人情報・機密情報の保護を目的とした独自のセキュリティ基準を要していました。しかし、それらは各社各様に独自策定されたものであり、複数のクレジットカードを扱う加盟店や店舗では、同様の情報でありながらも各々の基準に準拠する必要がありました。PCI DSSの登場は、主要なクレジットカード会社が連携し基準を共通化することによって、これらの労力とコストを削減し、更にはリスクを最低限に集約させる効果を発揮したのです。

PCI DSSでは、情報セキュリティポリシー、ネットワーク構築、アクセス制御、カード会員データの保護、脆弱性管理、ネットワークの監視とテストに関する12の要求事項が規定され、カード情報の取扱い形態や規模によって、3つの方法により認定を取得することができます。
その12の要件の中には、要件6.6としてWAF（Webアプリケーションファイアウォール）に関しての指針が示されています。要件6.6は、Webに面したアプリケーションに対して、アプリケーションコードを見直し脆弱性を修正するか、あるいはWAFを導入するかのどちらかが求められています。コードの見直しとWAFの導入の選択はユーザ側の任意の判断に託されていますが、「アプリケーションコードを見直し」で想定されるコスト面、工数面、継続性、あるいはその専門性を考慮すると、迅速かつ効率的に対応するためには信頼できるブラックリストを搭載したWAFの設置に分があるように思われます。しかし本来は、両者は目的と性質が異なるため、各々にその必要性があり、互いに補完することによってよりセキュアな環境構築が可能となるものです。

PCI DSSは、クレジットカード会員データのセキュリティを強化するために策定された基準で、カード会員データを取扱う（保存、処理、伝送）全ての事業体に適用されます。カード会員データを取扱う企業であるカード加盟店、銀行、決済代行などを行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSSに準拠する必要があるわけです。また、カード取引量がPCI DSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。

  技術フォーラムTopへ